위협 인텔리전스 소스란 무엇인가요?

편집자 주: 다음 블로그 게시물은 Dave Shackleford와 공동 주최한 SANS 웨비나를 일부 요약한 것입니다.

많은 조직이 위협 인텔리전스를 '어렵고' 손이 닿지 않는 영역으로 인식하고 있습니다. 처음부터 명확한 비전을 가지고 있다면 단순히 기술 부족을 강조하는 대신 특정 문제를 해결하도록 프로그램을 맞춤화할 수 있습니다.

얼마 전 Recorded Future는 보안에 민감한 조직이 위협 인텔리전스의 가장 큰 함정을 식별하고 피할 수 있도록 돕기 위해 SANS Institute와 웨비나를 공동 주최했습니다. 이 웨비나에서는 조직이 보안 팀과 이해관계자를 위해 실행 가능한 인텔리전스를 개발하기 위해 다양한 소스에서 위협 인텔리전스 데이터를 수집, 분석 및 배포하는 방법에 대해 설명했습니다. 이를 통해 디지털 자산을 보호하고 사이버 보안 사고에 효과적으로 대응할 수 있으며, 단일 소스에 지나치게 의존할 경우 발생할 수 있는 위험도 줄일 수 있습니다.

연사로는 Recorded Future의 기술 옹호자인 Chris Pace와 SANS 분석가이자 강사, 강의 저자인 Dave Shackleford가 참여했습니다.

Key Takeaways

• 명확한 목표를 가지고 사이버 위협 인텔리전스에 접근하지 않으면 인텔리전스가 조직에 가치를 제공할 수 있는 방법과 위치에 대한 이해에 영향을 미칩니다.
• 많은 조직이 위협 인텔리전스를 '어렵고' 손이 닿지 않는 영역으로 인식하고 있습니다. 처음부터 명확한 비전을 가지고 있다면 단순히 기술 부족을 강조하는 대신 특정 문제를 해결하도록 프로그램을 맞춤화할 수 있습니다.
• 위협 피드에만 의존하는 것은 정보 과부하와 알림 피로를 초래할 수 있습니다.
• 사이버 위협 인텔리전스의 출처는 다양하며, 각기 장단점이 있습니다. 여러 소스를 자동으로 결합하여 정보를 확증하고 컨텍스트화하여 인간 분석가에게 넘기기 전에 최고의 결과를 얻을 수 있습니다.
• 진화하는 위협 환경에 적응하기 위해서는 지속적인 피드백 루프를 구축하는 것이 중요합니다. 보안팀은 위협 인텔리전스 데이터를 수집, 분석, 배포함으로써 이해관계자를 위한 실행 가능한 인텔리전스를 개발할 수 있습니다.

사이버 위협 인텔리전스 소스란 무엇인가요?

위협 인텔리전스 소스에는 잠재적 또는 기존 사이버 위협에 대한 필수 정보를 제공하는 다양한 데이터 포인트와 피드가 포함되어 있습니다. 이를 통해 조직은 공격 표면의 핵심 부분인 디지털 자산을 보호하고 사이버 보안 사고에 효과적으로 대응할 수 있습니다.

이러한 소스는 인터넷에서 악성 활동과 패턴을 모니터링하는 실시간 위협 인텔리전스 피드와 조직 시스템의 내부 보안 로그 등 다양한 채널에서 위협 인텔리전스 데이터를 수집하여 비정상적인 행동과 과거 공격 시그니처를 식별하는 데 도움을 줍니다.

위협 인텔리전스 소스의 유형

위협 인텔리전스는 잠재적 또는 기존 위협에 관한 위협 인텔리전스 데이터의 수집, 분석 및 적용을 포함하는 지속적인 프로세스입니다. 위협 인텔리전스 데이터의 출처는 다양하며, 각각 장단점이 있습니다. 보안 운영 센터 내에서 여러 소스를 자동으로 결합하여 인텔리전스를 확증하고 컨텍스트화하여 인간 분석가에게 전달하기 전에 최상의 결과를 얻을 수 있습니다. 이러한 접근 방식은 조직의 전반적인 보안 태세를 유지하고 강화하는 데 매우 중요합니다.

명확한 목표를 가지고 위협 인텔리전스에 접근하지 않으면 인텔리전스가 조직에 가치를 제공할 수 있는 방법과 위치에 대한 이해에 영향을 미칩니다. 위협 피드에만 의존하는 것은 정보 과부하와 "알림 피로"를 초래할 수 있습니다.

물론 위협 인텔리전스를 사용하여 어떤 문제를 해결할 수 있는지 이해하려면 먼저 잠재적으로 사용할 수 있는 인텔리전스가 무엇인지 파악해야 합니다. 웨비나에서 Dave와 Chris는 가장 일반적인 소스를 다루는 데 시간을 할애했습니다.

1. 오픈 소스 위협 인텔리전스 피드

오픈 소스 인텔리전스(OSINT) 는 공개적으로 이용 가능한 출처에서 정보를 수집하는 것을 포함합니다. 여기에는 뉴스 기사, 블로그, 소셜 미디어, 포럼, 공개 데이터베이스 등이 포함됩니다. 2023년에 위협 인텔리전스를 위해 수집된 데이터의 대부분은 뉴스 및 미디어 보도, 커뮤니티 또는 업계 그룹과 같은 외부 출처에서 수집되었습니다.

상상할 수 있는 모든 보안 측면을 다루는 수백 가지의 제품이 있습니다. 기본 위협 인텔리전스 플랫폼 (TIP)을 구현하면 관리하기 어려운 수의 알림을 소화하는 데 필요한 모든 것을 갖추게 됩니다. 또한, 위협 연구자 및 보안 전문가로 구성된 글로벌 커뮤니티에서 생성한 위협 데이터에 대한 개방형 액세스를 제공하는 플랫폼도 있습니다. 이를 통해 공동 연구를 촉진하고 모든 소스의 위협 데이터로 보안 인프라를 업데이트하는 프로세스를 자동화하며, STIX, OpenIoC, MAEC, JSON, CSV 등 다양한 형식으로 제공됩니다.

2. 사내 위협 인텔리전스

흔히 '보안 분석'이라고도 하는 사내 인텔리전스는 사고 대응팀, 보안 운영 센터(SOC) 담당자, 보안 분석가 및 보안 전문가가 생성합니다. 내부 네트워크 모니터링에는 조직 시스템 내부의 데이터 분석이 포함됩니다. 여기에는 방화벽, 침입 탐지 시스템(IDS) 및 기타 네트워크 장치의 로그가 포함됩니다.

3. 수직적 커뮤니티

특정 산업 및 업종에서는 금융 서비스 정보 공유 및 분석 센터(FS-ISAC)와 같은 정보 공유 커뮤니티에 액세스할 수 있습니다. 또한 사이버 보안 및 인프라 보안 기관(CISA) 은 인프라 보안 기관으로서 위협 인텔리전스 정보와 자동화된 지표 공유(AIS) 위협 인텔리전스 피드를 제공하는 중요한 역할을 담당하고 있습니다. 이러한 커뮤니티는 매우 가치 있는 커뮤니티일 수 있지만, 종종 게이트가 있어 대량의 거래를 처리하는 조직이라도 '올바른' 브랜드 이름을 가지고 있지 않으면 접근이 허용되지 않을 수 있습니다.

4. 상업용 서비스

2022년에는 약 78%가 상용 위협 인텔리전스 피드를 주요 위협 인텔리전스 소스로 사용하고 있었습니다. 상용 위협 인텔리전스 서비스는 최신 위협 및 취약성에 대한 엄선된 실시간 데이터를 제공합니다.

흔히 공급업체라고 불리는 수십 개의 보안 벤더가 제공하는 상용 위협 인텔리전스 서비스는 품질과 범위가 매우 다양합니다. 사이버 보안 회사에서 제공하는 이러한 서비스는 다양한 출처의 정보를 취합하고 분석하여 상세하고 실행 가능한 인텔리전스를 제공합니다.

최상의 경우, 오픈 소스 대안보다 훨씬 적은 오탐률로 하나 이상의 인텔리전스 영역에 대한 중요한 인사이트를 제공합니다. 그러나 사용자가 비용 없이 위협 정보를 검색, 스캔, 보강 및 공유할 수 있는 MISP와 같은 무료 위협 인텔리전스 플랫폼이 있다는 점에 주목해야 합니다. 최악의 경우, 상용 서비스는 비용이 많이 들고 진정으로 실행 가능한 인텔리전스를 제공하지 못합니다.

5. 다크 웹 인텔리전스

다크 웹은 기존 검색 엔진에서 색인화되지 않는 인터넷의 일부로, 불법 활동에 자주 이용되는 곳입니다. 선입견은 잊어버리세요. 기능적으로 다크웹은 "구글에서 색인화되지 않은 모든 것"이 아닙니다. 사이버 보안 관점에서 다크웹은 약 500~600개의 지하 포럼으로 구성되어 있으며, 특수 브라우저를 통해서만 접속할 수 있습니다.

다크 웹을 모니터링하면 데이터 유출 및 신종 멀웨어를 비롯한 새로운 위협에 대한 조기 경고를 제공할 수 있습니다. 최근 위협 인텔리전스 업계에서 가장 각광받고 있는 다크 웹은 조직에 도난당한 자산을 식별하고, 위협 행위자의 타깃을 탐색하고, 익스플로잇 키트를 분석하는 등의 기회를 제공합니다. 멀웨어 URL이나 스팸 IP 주소와 같은 특정 유형의 위협 활동에 집중함으로써 조직은 다크 소스 위협 피드에서 귀중한 인사이트와 컨텍스트를 얻을 수 있습니다.

안타깝게도 여러 언어(관련 속어 포함)를 이해해야 하고 위험한 당사자의 관심을 끌 수 있는 잠재력을 고려할 때 이러한 보석을 사내에서 수집하는 것은 가치보다 더 큰 문제가 될 수 있습니다. 비밀스럽고 가치 있는 커뮤니티의 대부분은 가입이 매우 어려워 기존 회원이 신규 지원자의 보증을 요구하고 수천 달러에 달하는 가입비를 요구합니다.

위협 인텔리전스를 '보는' 방법을 결정짓는 정보원

먼저 Dave는 작년에 실시한 사이버 위협 인텔리전스에 대한 SANS 설문조사 결과 중 일부를 그래프로 보여주며 시작을 알렸습니다. 이 경우 응답자에게 조직 내 위협 인텔리전스의 상위 3가지 사용 사례를 물었습니다.

곧바로 흥미로운 사실을 발견했습니다. 매우 높은 비율의 조직이 이미 위협 인텔리전스 데이터를 사용하여 악성 도메인 및 IP 주소를 차단하고 있으며, 많은 조직이 조사 또는 침해 평가에 컨텍스트를 추가하는 데도 사용하고 있습니다.

하지만 이보다 더 나아간 조직은 거의 없습니다. 위협 인텔리전스를 세 번째로 많이 사용하는 응답자는 전체 응답자의 3분의 1도 되지 않았으며, 그다음으로는 그다지 많지 않았습니다.

레코디드 퓨처의 크리스 페이스가 그 이유를 설명합니다:

"악성 도메인과 위험한 IP 주소를 매우 이분법적인 방식으로 제공하는 피드가 쌓여 있다면 위협 인텔리전스의 유용성을 인식하게 될 것입니다. 왜냐하면 그것이 바로 접근 가능한 것이기 때문입니다."

"그래프 왼쪽의 숫자가 너무 높고 다른 더 흥미롭고 잠재적으로 더 유용한 것들이 아래쪽에 있는 이유는 해당 인텔리전스에 액세스하여 수집하고 사용 가능한 형식으로 변환하는 데 있어 인식되는 진입 장벽 때문이라고 생각합니다."

일반적인 관행에 따르면 위협 인텔리전스 이니셔티브는 기본 플랫폼과 몇 가지 오픈 소스 피드로 시작해야 합니다. 어떤 의미에서는 가장 저렴하게 시작할 수 있는 방법이기 때문에 이해할 수 있는 부분입니다.

하지만 실제로는 단일 소스 위협 인텔리전스는 작동하지 않습니다. 단일 소스를 사용하면 기존의 운영 문제를 해결하거나 알려진 위험을 해결하는 대신 매우 사후 대응적인 입장에 처하게 되어 분석가가 맥락이 거의 없는 새로운 알림을 지속적으로 선별해야 하는 상황이 발생할 수 있습니다.

그게 다입니다. 현재 액세스할 수 있는 것이 의식의 흐름에 따른 위협 피드뿐이라면 위협 인텔리전스의 많은 가치 있는 측면을 얻을 수 없을 것입니다. 안타깝게도 많은 조직이 이를 자사의 실패라고 생각하지만, 실제로는 강력한 위협 인텔리전스 시설의 구축 방식에 대한 기본적인 오해에 지나지 않습니다.

위협 인텔리전스 정보를 제대로 활용하려면 조직은 사이버 위협 인텔리전스를 수집, 분석, 시각화하는 플랫폼과 도구에 액세스할 수 있어야 합니다. 여기에는 정보 공유를 위해 설계된 플랫폼, 오탐을 줄이기 위한 데이터 분석, 위협 데이터에서 비정상적인 패턴을 식별하는 도구가 포함됩니다.

위협 인텔리전스의 과제

보시다시피 오픈소스 인텔리전스는 빙산의 일각에 불과합니다. 하지만 안타깝게도 많은 조직이 이러한 소스가 제공하는 저수익 알림의 양에 금방 압도당하기때문에 추가 소스를 수용하지 못합니다.

위협 인텔리전스의 단순한 진실은 많다고 해서 항상 좋은 것은 아니라는 것입니다. 알림의 경우, 많으면 많을수록 더 나쁩니다.

"사용 가능한 피드와 데이터의 방대한 양에 압도당하는 것은 당연한 일입니다."

Chris는 웨비나에서 다음과 같이 언급했습니다.

"공급업체로서, 위협 인텔리전스 제공업체로서 이 문제를 해결하는 것은 우리에게 달려 있습니다. 조직이 데이터라는 화수분에서 물을 마시려고 해서는 안 됩니다."

"소화전"이라는 용어 사용에 유의하세요. 실제로 많은 조직이 위협 피드 알림에 부담을 느끼는 이유는 그들이 수신하는 것이 인텔리전스가 아니라 로데이터이기 때문입니다. 인텔리전스로 간주되려면 해당 데이터를 필터링, 처리 및 형식화하여 관련성 있고 가치 있는 알림만 인간 분석가를 통해 전달되도록 해야 합니다. 위협 인텔리전스 피드를 다른 보안 도구 및 플랫폼과 통합하면 이 프로세스를 자동화하여 데이터를 실행 가능한 데이터로 만들고 노이즈와 오탐을 줄일 수 있습니다.

대부분의 경우 이런 일은 일어나지 않습니다.

그렇다면 더 많은 알림이 정답이 아니고 대부분의 피드가 원시 데이터에 불과하다면 조직이 어떻게 강력한 위협 인텔리전스 기능을 개발할 수 있을까요? 여기에서 Dave와 Chris는 위협 인텔리전스의 '두 가지 C'인 컨텍스트와 확증에 대해 소개했습니다.

압도적인 양의 저수익 알림을 해결하기 위해 조직은 위협 인텔리전스 데이터를 수집, 분석 및 배포하는 데 집중해야 합니다. 여기에는 진화하는 위협 환경에 적응하기 위한 지속적인 피드백 루프를 구축하여 보안 팀과 이해관계자에게 실행 가능하고 관련성 있는 데이터를 제공하는 것이 포함됩니다.

'위협 인텔리전스는 어렵다'

물론 출처가 효과적인 위협 인텔리전스 수집을 가로막는 유일한 장애물은 아닙니다. 많은 조직이 위협 인텔리전스에 어려움을 겪는 이유를 더 자세히 설명하기 위해 Dave는 두 번째 SANS 설문조사 그래프를 올렸습니다.

효과적인 위협 인텔리전스를 방해하는 가장 큰 두 가지 장벽을 살펴보세요: 숙련된 직원 부족과 기술 역량 부족.

기술 격차는 새로운 이야기는 아니지만, 세 번째로 가장 흔한 장벽을 생각해 보세요: 경영진의 동의 부족입니다. 짐작컨대, 경영진과 예산 담당자의 동의가 부족한 것은 강력한 위협 인텔리전스 시설을 구현하고 유지하는 데 필요한 숙련된 보안 전문가가 부족하기 때문일 가능성이 높습니다.

이제 설문조사 응답자들이 꼽은 나머지 장벽을 살펴보세요. 대부분 많은 양, 관련성 부족, 우선순위 지정 부족과 관련이 있습니다. 간단히 말해, 많은 조직이 알림에 압도당하고 있으며, 그 중 너무 많은 알림이 오탐으로 처리되고 있습니다.

다시 한 번 말하지만, 이것은 잘못된 위치에서 시작하는 문제입니다. 경영진의 동의를 얻기가 어려울 수 있기 때문에 조직은 가장 쉽고 저렴한 방법인 위협 인텔리전스 피드를 통해 위협 인텔리전스 이니셔티브를 시작하려고 합니다.

하지만 실제로 이러한 피드는 사용하기 쉽지 않습니다. 분석가의 시간을 엄청나게 잡아먹고 성과는 거의 없으며, 무엇보다도 위협 인텔리전스는 최신 취약점과 악성 도메인을 '두더지 잡기'에 불과하다는 해로운 시각을 조직에 심어줍니다.

"**자기 충족적 예언입니다."라고Dave는 설명합니다. "쉽게 이해할 수 있는 데이터에 쉽게 액세스할 수 있고, 즉시 활용할 수 있을 것 같지만, 거기서 멈춥니다**."

그렇다면 위협 인텔리전스 피드가 아니라면 어디서부터 시작해야 할까요? 간단합니다: 기존 문제를 해결하는 것부터 시작하세요.

"브랜드 모니터링, 유출된 자격증명 모니터링, 새로운 위협 발견, 취약성 식별 및 우선순위 지정 등 어떤 것이든 상관없습니다."

Chris의 설명입니다.

"위협 인텔리전스를 어떻게 사용할지 고민하기 전에 먼저 목표가 있어야 합니다."

'모든 소스' 확증의 중요성

사용할 수 있는 데이터가 많을수록 조직이 보안을 유지하는 데 필요한 알림을 받을 가능성이 높아진다는 사실은 변함없습니다.

동시에, 이미 살펴본 바와 같이 방대한 양의 위협 데이터에 액세스하는 것은 아무리 규모가 크고 숙련된 분석가 팀이라도 감당하기 어려운 일입니다.

따라서 숙련된 분석가가 귀한 세상에서 더 많은 위협 인텔리전스 데이터의 필요성과 경고를 최소화해야 하는 필수 사항의 균형을 맞추는 것이 중요합니다. 답은 간단합니다:

보안 전문가를 위한 위협 인텔리전스 소스 활용하기

위협 인텔리전스가 성숙해지기 시작하고 조직이 위협 인텔리전스에 익숙해지면서 이 두 가지 사이의 균형을 맞추는 것이 위협 인텔리전스 역량을 점진적으로 개선하고자 하는 모든 사람의 궁극적인 목표가 될 것입니다. 실시간 보안 운영, 조사 및 연구에서 추출한 고품질의 우선 순위가 지정된 정보를 제공하므로 실행 가능한 위협 인텔리전스를 강조하는 것은 매우 중요합니다. 다양한 소스에서 위협 인텔리전스 데이터를 수집, 분석 및 배포하는 것은 보안 팀과 이해 관계자를 위한 실행 가능한 인텔리전스를 개발하는 데 필수적입니다.

모든 소스의 위협 인텔리전스가 실제로 작동하는 것을 보려면 무료 사이버 데일리 이메일에 가입하여 상위 표적 산업, 위협 행위자, 악용된 취약점과 같은 기술 지표에 대한 상위 일일 결과를 확인하세요. 지금 바로 데모를 예약하여 다양한 위협 인텔리전스 소스를 보안 전략에 통합하는 방법을 살펴보세요.